Logo
Tijd Connect biedt organisaties toegang tot het netwerk van De Tijd. De partners zijn verantwoordelijk voor de inhoud.

Veilig op het net, dankzij uw eigen digitale identiteit

Stephanie De Bruyne, CEO van Belgian Mobile ID

Online loert het gevaar om elke hoek, zo lijkt het soms. De identificatie-app itsme wil ervoor zorgen dat iedereen op een veilige manier kan deelnemen aan onze digitale maatschappij. ‘Wie overal inlogt en tekent met onze app, loopt weinig risico.’

itsme, de app die uw digitale identiteit beheert, zag het levenslicht in 2017, via een consortium van vier Belgische banken (Belfius, BNP Paribas Fortis, ING en KBC) en drie telecomoperatoren (Proximus, Orange Belgium en Telenet). De coronacrisis heeft het gebruik van de app explosief doen toenemen: ondertussen wordt de app door meer dan 5 miljoen Belgen gebruikt. Deze zomer haalde itsme nog 24,7 miljoen euro op bij de bestaande aandeelhouders en bij de Federale Participatie– en Investeringsmaatschappij. Die kapitaalsverhoging onderstreept de Europese ambities van het bedrijf.

‘Een totaal anoniem internet kan nooit veilig zijn’

‘Gebrek aan betrouwbaarheid  is een van de grootste bedreigingen voor het internet’, stelt Miguel De Bruycker van het Centre for Cybersecurity Belgium. ‘Systemen zoals itsme zouden standaard moeten worden. Een veilig internet dat puur gebaseerd is op anonieme toegang, dat is alsof je verkeersveiligheid nastreeft met wagens zonder nummerplaat. Bepaalde dienstverlening kan niet anoniem gebeuren, denk aan toegang tot medische of pensioengegevens.’

‘We moeten nog meer veiligheidslagen inbouwen zodat je bij een bezoek aan een website een mechanisme creëert waardoor je in de browser de “verantwoordelijke uitgever” zichtbaar maakt. En waarom zou je niet inloggen op je emailaccount met itsme? Dan weet je dat de mail ook effectief van iemand komt van wie de identiteit gevalideerd is. Zo vermijd je CEO-fraude, waarbij iemand zich via mail voordoet als CEO en dringend aan de boekhouding vraagt om een factuur te betalen.’

Via verdacht@safeonweb.be roept het Centre for Cybersecurity Belgium burgers op om verdachte berichten door te sturen. ‘We krijgen er gemiddeld 13.000 per dag. Wij controleren volledig geautomatiseerd de links en bijlages van doorgestuurde berichten en laten verdachte links zo snel mogelijk blokkeren. Zo kunnen we heel snel bepaalde trends detecteren.’

We krijgen gemiddeld 13.000 verdachte berichten per dag.
Miguel De Bruycker
Centre for Cybersecurity Belgium

Stephanie De Bruyne, CEO van Belgian Mobile ID, het bedrijf achter itsme: ‘We bieden momenteel een viertal diensten aan die burgers én bedrijven toelaten veilig op het web te interageren. Identificatie wordt vooral gebruikt als je identiteitsdata moet delen als nieuwe klant bij een bank of nieuwe gebruiker op een website. Met de authenticatie of het inloggen meld je je aan op applicaties of websites. Dit is onze meest gebruikte functionaliteit. Confirmatie wordt vooral gebruikt om een handeling te bevestigen, zoals een aankoop of een overschrijving. De vierde toepassing is de gekwalificeerde handtekening, die dezelfde juridische waarde heeft als de handgeschreven handtekening. Voor al onze diensten (van identificatie tot handtekening) voldoen we aan het allerhoogste veiligheidsniveau.’

Wat doet itsme meer dan andere authenticatiemethoden, zoals een bankkaart, username, wachtwoord, QR-codes?

Stephanie De Bruyne: ‘Onze app is gebaseerd op een mobiele identiteit. Zodra je een itsme-account creëert, weten we met 100 procent zekerheid dat jij het bent. Het creëren van een account duurt even, maar dat is heel bewust: burgers moeten beseffen dat we het proces zo veilig mogelijk moeten laten verlopen. Daarnaast onderscheiden we ons als multi-factor verificatie mechanisme. itsme werkt alleen als je gebruik maakt van de combinatie van de app op je smartphone (iets wat je hebt) en je persoonlijke itsme-code (iets wat je weet) of vingerafdruk (iets wat je bent). Met itsme moet je geen username en wachtwoord aanmaken op de website waar je wil aanmelden. Een username en wachtwoord behoren tot de “single factoren” en zijn veel gemakkelijker te onderscheppen dan multi-factor methodes. 

Het creëren van een itsme account duurt even, maar dat is heel bewust: burgers moeten beseffen dat we het proces zo veilig mogelijk moeten laten verlopen.
Stephanie De Bruyne
CEO van Belgian Mobile ID


Jullie gebruikers krijgen wel regelmatig te maken met phishingberichten. Hoe wapent u zich tegen copycats?

Stephanie De Bruyne: ‘Bij het uitvoeren van een itsme-interactie vul je niets in op een website. Je geeft alleen je telefoonnummer door zodat een melding kan gestuurd worden naar je itsme-app. Je laat dus geen usernamen en wachtwoorden achter op het internet.

Fraudeurs kunnen de website van een partner misschien wel nabootsen, maar ze kunnen nooit een notificatie sturen naar je persoonlijke itsme-app. Elke partner van itsme heeft een beveiligde unieke connectie met ons systeem. Enkel de bedrijven die gekoppeld zijn kunnen hun gebruikers laten aanmelden of tekenen met itsme.

Soms wordt itsme wel gebruikt als “lokaas” om te vissen naar je bankgegevens. Maar itsme zal je nooit in een e-mail, sms of telefoongesprek vragen om je account te heractiveren en je bankgegevens opnieuw in te geven.

Zijn burgers al voldoende gesensibiliseerd rond veilig inloggen en dito identificatie?

Stephanie De Bruyne: ‘Een van onze sterktes is dat er achter elke account een geverifieerde gebruiker zit en dat elke partner een beveiligde connectie heeft met itsme. Maar bijkomend zie en bevestig je als gebruiker ook bij elke actie wat je doet (inloggen of tekenen) en welke data je deelt. We volgen hierbij strikt de GDPR-regulering, en zullen partners ook niet toelaten data op te vragen die ze niet mogen hebben.

Vertrouwen creëren, dát is de grote uitdaging. Daarom streven we zo veel mogelijk transparantie en herkenbaarheid na, waarbij onze gebruikers altijd hetzelfde ritueel uitvoeren: ze geven hun gsm-nummer in en krijgen een melding in hun itsme-app die ze bevestigen. Ook wie minder digitaal onderlegd is, krijgt zo toegang tot een veilig internet.’

Openen jullie toepassingen ook opportuniteiten voor bedrijven?

Het is cruciaal dat er een marktstandaard komt, want als elk bedrijf morgen data uitwisselt op zijn eigen manier, zien we door de bomen het bos niet meer.
Stephanie De Bruyne
CEO van Belgian Mobile ID

Stephanie De Bruyne: ‘Absoluut. Meer dan 500 bedrijven in België gebruiken vandaag itsme, niet alleen voor hun klanten maar ook als inlogmechanisme op eigen bedrijfstoepassingen. De gekwalificeerde handtekening, die door Europa erkend is, wordt vaak gebruikt bij het ondertekenen van (internationale) contracten. itsme zal in de nabije toekomst ook steeds meer ingezet worden om beveiligde gegevens online uit te wisselen. We verwachten een shift in de markt waarbij burgers en bedrijven zelf kunnen beslissen wat ze delen én met wie. Je zou via de app bijvoorbeeld een nieuwe werkgever toestemming kunnen geven om je diploma op te zoeken in de gegevensbank van de universiteit. Wij zullen die data nooit bij ons “parkeren”, maar we willen wel linken leggen met al die externe databronnen, zodat data op een heel veilige en transparante manier uitgewisseld kunnen worden.

Een bedrijf kan zo alles digitaliseren met het hoogste niveau van veiligheid. Het is wel cruciaal dat er een marktstandaard komt, want als elk bedrijf morgen data uitwisselt op zijn eigen manier, zien we door de bomen het bos niet meer. Om veiligheid en privacy te garanderen, moeten we naar een uniforme standaard en gebruikservaring.’

Itsme telt ruim 5 miljoen gebruikers. Zitten jullie in poleposition om die standaard te creëren?

Stephanie De Bruyne: ‘Ondertussen wordt onze app gebruikt in België, Nederland en Luxemburg. Een verdere uitbreiding binnen Europa behoort tot de mogelijkheden. Sinds december 2019 is itsme door Europa als digitale identiteit erkend. We zijn een van de weinige spelers die alle accreditaties hebben voor zowel identificatie, authenticatie als handtekening. En we bedienen zowel de publieke als private sector. Op Europees niveau verwachten we dus dat er een beperkt aantal spelers een steeds groter territorium zal bedienen. Maar er moet een zekere maturiteit zijn in de landen die je benadert. In België baseren we ons op de eID-kaart voor het creëren van de geverifieerde mobiele identiteit, maar in landen zonder elektronische identiteitskaart heb je geen basis.’

Logo
Tijd Connect biedt organisaties toegang tot het netwerk van De Tijd. De partners zijn verantwoordelijk voor de inhoud.